近期有客户基于某些安全性考虑需要在web服务器上disableTLS1.0
因为web部署在AWS上,前端挂在ELB上,只需修改ELB的侦听器配置即可。
1.对于传统型ELB(Classic Load Balancer ),在ELB配置页面的侦听器标签页下选择变更密码(Cipher),然后在选择密码页面可以选择符合需求的预定义安全策略,如果没有合适的策略,也可以选择自定义。
可选传统ELB的预定义SSL安全策略列表:
最新的预定义安全策略 描述 :
这里我们只保留TLSv1.2,选择不包含TLSv1和TLSv1.1的ELBSecurityPolicy-TLS-1-2-2017-01:
2.对于应用型ELB(Application Load Balancer),在ELB配置页面的侦听器标签页下勾选有安全策略的侦听器,点击编辑,在后面的页面中可以选择符合需求的预定义安全策略,需要注意的是,Application Load Balancer 目前不支持自定义安全策略。
目前可选的预定义策略:
预定义的安全策略描述:
这里我们只保留TLSv1.2,可以选择ELBSecurityPolicy-TLS-1-2-Ext-2018-06。
修改后保存即可。
使用nmap扫描工具检测结果:
nmap --script ssl-enum-ciphers -p 443 [Domain name]
参考文献:
https://docs.aws.amazon.com/zh_cn/elasticloadbalancing/latest/classic/elb-security-policy-table.html
https://docs.aws.amazon.com/zh_cn/elasticloadbalancing/latest/application/create-https-listener.html